2024-03-28 19:45 (목)
[개인정보보호 기술적 보호조치 for Dummies ①] 먼저 개인정보 어디 있는지 파악할 것!
상태바
[개인정보보호 기술적 보호조치 for Dummies ①] 먼저 개인정보 어디 있는지 파악할 것!
  • 최일훈
  • 승인 2013.09.09 10:24
이 기사를 공유합니다

개인정보, 어디 있는지 자신있게 답할 수 있는 기업 거의 없다!
소만사 최일훈 연구소장의 개인정보보호 기술적 보호조치 바로알기 칼럼을 총 4회에 걸쳐 연재할 예정이다. 짧고 쉬운 문체로 설명한 만큼, 개인정보 기술적 보호조치에 대한 이해도를 높이고 개인정보유출방지를 목적으로 개인정보보호 솔루션 도입을 고려하고 있는 기업들에게 작은 도움이 되길 바란다. <편집자 주>

우선, 어디 있는지 알아야 보호할 수 있겠지. 어디 있는지도 모르면서 보호한다고 주장하는 건 눈감고 칼 휘두르는 것과 똑같아. 당연한 이야기하지 말라고? ‘개인정보가 어디에 있나?’라는 질문에 자신있게 답변할 수 있는 조직은 말이야, 놀라지 마. 거의 없어.
너무 어려운 일이라서 아무도 못하는거 아니냐고? 아쉽게도 그건 아니야.

개인정보를 보호하려면 가장 먼저 회사내 개인정보가 얼마나 되는지 파악해야 해. 적이 쳐들어온다고 생각해보자. 한정된 병력으로 승리하려면 전선을 압축해야 해. 전선(戰線)이 분산되어있으면 병력낭비가 엄청나겠지? 개인정보를 파악하는 것은 전선을 파악하는 것과 똑같아. 개인정보를 식별해서 불필요한 정보는 삭제하고 필요한 정보는 암호화, 인증, 접근통제?감사를 통해서 보호해야 해. 개인정보자산식별은 개인정보보호의 전투가 벌어지는 전선을 압축화, 집중한다는 의미가 있어.
 
PC내 방치된 개인정보, 유출사고로 직결
개인정보는 파일 혹은 출력물 형태로 방치되어 있어. 개인정보파일이 방치되는 곳은 DB?PC?서버?CD?DVD?USB?스마트폰?태블릿PC?외장하드, 직원책상 위, 프린터 옆 등 다양해. 그 중 방치된 개인정보 용량에 있어 최고는 단연 PC야.

실제 모금융사 PC 단 한 대에 개인정보 1억건이 들어있었대. 주민등록번호 10만건 이상 포함된 엑셀파일은 수도 없이 나와. 그런데도 PC사용자들은 자기 PC에 개인정보가 얼마나 어디에 있는지 모르고 있어. PC에 개인정보파일이 방치되어있다가 유출되면 개인정보보호법상 형사처벌 대상이야. 내 PC에 개인정보파일 있는지 몰랐다고 선처해달라고 빌면 과연 봐줄까? 몰랐다고 면책해주는 법조항은 아쉽지만 없어. 2013년 5월, 안전행정부가 공공기관 대상으로 PC내 개인정보를 전수검사하라는 공문을 내렸어. 그 뜻은 얼마나 개인정보 가지고 있는지 알고 있으라는 거야. 전수검사해서 얼마나 갖고 있는지 알고 보호하라는 뜻이지. 다시 말해서 앞으로 PC에서 개인정보유출사고가 발생하면 더 이상 좌시하지 않겠다는 뜻인 거지.

서버내 보관된 개인정보, 주기적인 검출?암호화?파기 필요
어플리케이션서버만 털어도 개인정보파일 대량으로 유출시킬 수 있다는 것은 보안업계의 ‘공공연한 비밀’이지. DB까지 갈 필요도 없어. 서버만 털어도 주민등록번호, 카드번호 수십만건을 빼돌릴 수 있다는 거야.
실제 2011년 웹서버 내 방치된 개인정보를 해킹함으로써 대형 유출사고가 발생했어.

왜 서버에 개인정보파일이 있냐고? 글쎄, 원인은 다양하겠지. 가장 큰 원인은 여러사람이 쓴다는 거야. 여럿이 쓰기 때문에 실제 아무도 신경쓰지 않는 영역이 생겨나는 거지. 경제학에서 말한 공유지의 비극이랄까. 특히 웹서버는 외부에 노출되어있기 때문에 더 위험해. 실제 진단을 나가보면 웹서버에서 개인정보파일 몇천건, 주민번호 몇백만건이 발견되기도 해.

혹시 DB암호화한 후에 (평문으로 된) 개인정보테이블이 DB에 더 생긴다는 말 들어봤어? DB암호화의 역설이지. DB암호화 직후 개인정보는 100% 암호화상태로 저장되어 있겠지. 하지만 조직 내 복호화권한자는 업무상 필요시 암호를 풀어서 평문으로 된 개인정보를 볼 수 있지. 그런데 많은 복호화권한자가 (암호화를 풀고 나서) 개인정보를 DB서버 임시테이블에 평문으로 저장하고 있어. 왤까? 나중에 또 쓰려고 잠깐 놔뒀다가 (당연하게도)잊어버리는 거야. 이런 임시테이블은 빨리 발견해서 지워야 해. 많은 사람들이 사용하는 DB서버는 DB암호화 한번 했다고 보안이 끝나는 게 아니야. 지속적으로 개인정보가 복호화되어서 방치되어있지 않은지 검출해서 암호화하거나 파기해야 해. 
 
개인정보, 얼마나 오랫동안 보유했는지 파악하는 것이 중요
다시 한번 말할게. 개인정보를 보호하려면 개인정보가 어디 있는지 알아야 해. 어디 있는지도 모르면서 보호한다고 설치는 건 눈감고 칼 휘두르는 것과 똑같아. 개인정보파일은 주기적으로 보유현황을 파악해야 해.

PC에서 개인정보파일 10만건이 나오면 사람들은 세가지 반응을 보이더라. 1) 개인적인 내용이다. 2) 업무용 개인정보다. 3) 전임자가 그랬다(회피). 업무파일이면 문제될 게 없어. 하지만 업무가 끝난 후에도 가지고 있다면 문제가 돼. 해킹될 수도 있고 PC사용자가 실수로 웹하드에 올릴 수도 있으니까. PC사용자가 업무 끝나고 알아서 지우면 좋겠지만, 아마도 그런 일은 별로 없을 거다. (나라도 까먹을 거 같으니).

감독기관이 불시에 내 PC를 감사한다고 생각해보자. 내 PC에서 (있는지도 몰랐던)개인정보가 나왔어. 이 때 처벌기준은 뭐가 될까? 개인정보가 방치되어있던 기간을 따져봐야 해. 10년 방치한 경우와 1주일 방치한 경우 처벌은 당연히 달라야 하지. 그래서 [개인정보보유기간 추적기능]이 중요해.

개인정보를 검출해서 권한없는 사람(PC, 서버포함)이 보유한 개인정보를 파기해야겠지. 그리고 권한자(PC, 서버포함)라 할지라도 보유기간이 지났을 경우 파기해야할거야. 보유기간이 지나지 않은, 즉 권한자가 현재 업무상 쓰고 있는 개인정보는 적절한 조치(암호화)로 보호해야겠지. 그리고 이 절차를 자동화해서 보안담당자의 부담감을 덜어줘야겠지? 꿈의 기술 아니냐고? 이미 이런 기술이 시중에 나와있어.

글. 소만사 최일훈 소장 acechoi@somansa.com

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★